윈도우 포렌식 실전 (2) - 사용자 환경 분석 (디스크와 파티션)

0. 들어가기 앞서

일단 먼저 알아둬야할건 윈도우 운영체제 (Windows 10 기준) 설치시에 파티션이 3개가 필요하다.

 

2개의 예약 파티션과 1개의 사용자 파티션이다.
실제로 어제 가은씨와 서율씨 알려줄 때에도 내가 사용하는 파티션은 3번째에 위치해 있었다.

내 컴퓨터에 GPT 디스크와 지금 노트북의 GPT 디스크를 비교해보면

어느정도 정해진 패턴으로 예약파티션 - 예약파티션 - 사용자파티션 순으로 3개의 파티션이 이러한 순서로 묶여서 이루어지고 있는듯하다.

이게 현재 내 노트북에서 디스크 내용을 나눈 내용이고,

이게 FTK Imager로 확인한 내 노트북 디스크 내부 구조이다.

내가 만들은 E,F,G는 4GB 용량의 파티션으로 위에 3개의 파티션으로 나오고,
앞에 있는 3개의 디스크가 예약파티션-예약파티션-사용자파티션으로 구성되어있음을 알 수 있다.
마지막의 7번째 파티션은 DNA (D:) 드라이브로 LG에서 관리를 위해 만들어놓은 파티션 영역이다.

이건 뭐 넘어가도록하고...

여기서 다룰 내용은 각 파티션마다의 정보이다.

드라이브 문자와 실제 디스크 파티션의 연관성,
파티션에 대한 정보등이 주로 나올듯하다.

1. MoutedDevices (마운팅된 기기)

이번에 보는 SYSTEM 파일은 레지스트리 중에서도 HKLM에 속해있는 SYSTEM 부분에 위치한다.

현재 내 노트북의 HKLM 구조

파티션과 디스크에 관한 레지스트리 값이 있는 SYSTEM 파일의 구조를 비교하면 동일한 레지스트리를 나타낸다는 것을 알 수 있다.

해당 하이브파일의 경로명은 Windows/System32/config/SYSTEM 이다.

이제 해당 SYSTEM 하이브 파일을 Registry Viewer로 열어서 확인해보자.

바로 아래에 있다. SYSTEM/MountedDevices 에 있는 값들을 참고하면된다.

문제 이미지와 함께 보면, 

4개의 파티션으로 이뤄져있는 것으로 볼 수 있는데, 차근차근 확인해보자.

일단 짧게 잡히는 값은 3개로 보이는데, 이것부터 분석해보면,
12바이트의 값을 DWORD(4바이트) 1개와 DWORD(4바이트) 2개 = 총 8바이트의 단위로 나눠서 기록이 된다고한다.

그러므로 C 드라이브의 경우

0xC1 2B 17 6D 와 0x00 00 30 03 0x00 00 00 00 으로 구분이 되게된다.

앞선 DWORD(4바이트) 크기의 값들도 의미를 갖고 있는데,

0xC1 2B 17 6D 의 값은 해당 파티션이 위치한 디스크 시그니처 값이다.
그러므로 C 드라이브와 D 드라이브는 같은 디스크에 위치하며, H 드라이브는 다른 디스크에 위치해있다고 유추할 수 있다.

실제로 문제 이미지의 디스크 시그니처를 확인해보자.

디스크 시그니처 값과 일치함을 확인할 수 있다.

 

그리고 두번째의 DWORD(4바이트) 2개 = 총 8바이트의 값은 

0x00 00 30 03 00 00 00 00 으로 이를 리틀엔디안에서 빅엔디안으로 바꾸면 

0x00 00 00 00 03 30 00 00 -> 0x3300000 으로 이는 드라이브의 시작 섹터로 대략적으로 유추해보면 파일시스템의 시작인 VBR이 있는 주소값이라고 유추할 수 있다.

0x3300000 = 53,477,376 이고, 이는 바이트 단위이다.
섹터로 표현하면 104,448 섹터이다.

이동해보면 예상대로 해당 파일 시스템의 시작인 NTFS의 VBR 부분이 보인다.

이외의 E와 H 드라이브는

사진처럼 앞의 디스크 시그니처 값이 C,D와 다르게 묶이며 C,D 한 세트
E,G 한세트로 묶이는 것을 알 수 있다.

그리고 자세히 보면 해당 hex 값을 확인해보면,

이런식으로 USB 디스크가 접속되었음을 유추할 수 있었다.
물론 문제에서 주어진 Episode02.E01 파일은 C,D 디스크에 해당하는 이미지 파일이라서
추가적으로 연결된 USB인 E,H 그리고 G 는 따로 제공된게 없으므로 디스크 시그니처를 직접 확인할 수 없고,
어느 드라이브가 같은 디스크에서 존재했는지까지만 알 수 있다.

코로롱 걸려서 힘들다.
롤체도 이제 그만하고 다시 공부 시작해야쥐